09.02.2024 – Kategorie: Health – IT

Cloud Security: Der Healthcare-Sektor hat Nachholbedarf

Herausforderungen in puncto Transparenz, IAM-Integration und Schatten-IT werden durch den Fachkräftemangel in der Cybersicherheit verschärft.

Der Einsatz von Lösungen für Cloud Access Security Broker und Data Leak Prevention ist ein Schritt in die richtige Richtung. Für eine effizientere und sicherere Gesundheitsversorgung bedarf es aber auch einer erhöhten Sicherheitsverantwortung auf Führungsebene und einer Abkehr von überholten Legacy-Systemen.

Mit seinen wertvollen Patientendaten – von medizinischen Daten über Informationen zu Krankenversicherungen bis hin zu klinischen Studien – ist der Healthcare-Sektor seit jeher ein beliebtes Ziel von Cyberattacken. Der kürzlich veröffentlichte Cloud Adoption and Risk Report, Healthcare Edition von Skyhigh Security zeigt, dass 76 Prozent der befragten Gesundheitseinrichtungen bereits Opfer eines Datendiebstahls, einer Datenbedrohung oder eines Daten-Breaches waren. Doch warum haben Cyberangreifer so ein leichtes Spiel mit dem Gesundheitswesen?

Status quo der Cloud in der Gesundheitsbranche

Der digitale Wandel hat das Gesundheitswesen von Grund auf verändert. Um jederzeit effiziente Abläufe sicherzustellen, verlassen sich medizinische Einrichtungen und Healthcare-Anbieter im Alltag heute auf eine Vielzahl innovativer Anwendungen. Hybrid und remote agierende Mitarbeiter sind auf diese Dienste ebenso angewiesen sind wie externe Partner. Dazu zählen Krankenhäuser und Kliniken sowie Vertragsärzte bis hin zu Laboren und Forschungszentren. Sie lösen auch im Gesundheitssektor zunehmend offene und dezentrale Infrastrukturen die hermetisch abgeschlossenen Enterprise Networks früherer Jahre ab. Auch das Hochladen kritischer Daten in die Cloud ist längst nicht mehr das Tabu, das es lange war. Auch wenn Einrichtungen im Gesundheitswesen dabei deutlich vorsichtiger sind als Anbieter in anderen Branchen. Gerade einmal 47 Prozent der befragten Einrichtungen gaben an, ihre Daten in der Cloud zu speichern und liegen damit im branchenübergreifenden Vergleich (61 Prozent) deutlich zurück.

Und für diese Zurückhaltung sprechen auch gute Gründe. Denn mit jeder neuen Cloud-basierten Anwendung, die eine Einrichtung integriert, wächst ihre Angriffsfläche. Und auch das schlägt sich in der Statistik nieder. Immerhin stieg die Zahl der Angriffe auf SaaS-Dienste in der Branche seit 2019 um stolze 19 Prozent. Also ist der Healthcare-Sektor gut beraten, im Rahmen der Cloud-Migration auch die bestehenden Security-Konzepte kritisch zu prüfen – und mithilfe ganzheitlicher, hybrider Plattformen die Weichen für einen lückenlosen Schutz On-Premises und in der Cloud zu stellen.

Man kann nur schützen, was man kennt

Der erste Schritt bei der Modernisierung der Security-Infrastruktur ist es, sich von veralteten, auf einen vermeintlich sicheren Perimeter ausgerichteten Sicherheitsmodellen zu verabschieden. In der dezentralen IT-Welt von heute präsentieren sich die Netzwerke offen und hybrid. Es gilt daher, beim Schutz von Daten und Diensten im Sinne eines Zero-Trust-Ansatzes konsequent bei den Identitäten und Anwendungen anzusetzen. Man sollte feingranular regeln, wer unter welchen Umständen auf welche Ressourcen zugreifen darf. Dies erfordert zum einen ein leistungsfähiges Identity- und Access-Management. Zum anderen lückenlose Visibilität darüber, welche Anwendungen überhaupt eingesetzt werden.

Immerhin können Mitarbeiter in der neuen Cloud-basierten Welt von heute mit wenigen Klicks nicht nur neue Cloud-Apps auf ihren Endgeräten installieren, sondern auch ganze Server-Farmen in Betrieb nehmen oder etliche Gigabyte kritischer Daten in generative KI-Tools hochladen, um ihren Arbeitsalltag zu erleichtern. All das geschieht ohne Wissen der IT-Abteilungen, die angesichts dieser Schatten-IT leicht den Überblick darüber verlieren, wo sich kritische Daten befinden und wer darauf zugreifen kann.

Um die Kontrolle über die eigenen Daten wieder zurückzuerlangen, implementieren Einrichtungen des Gesundheitswesens bereitwillig neue Technologien und setzen dabei vor allem auf zwei Bereiche:

  • Um die Schatten-IT zu minimieren, investieren 43 Prozent der Einrichtungen im Gesundheitssektor in zeitgemäße Cloud Access Security Broker (CASB). Diese liefern den Sicherheitsverantwortlichen einen umfassenden Überblick über die Anwendungslandschaft und ermöglichen es Ihnen, Richtlinien für den Umgang mit erwünschten und unerwünschten Apps festzulegen.
  • Auch beim Einsatz von Data Loss Prevention (DLP) – also Lösungen, mit denen sich kritische Daten klassifizieren und On-Premises und in der Cloud schützen lassen – führt der Gesundheitssektor im Branchenvergleich mit 30 Prozent Durchdringung (branchenübergreifend: 23 Prozent) das Feld an.

Die Implementierung eines CASB und einer unternehmensweiten DLP-Strategie sind zwei wichtige Schritte, um die Weichen für eine sichere Cloudnutzung zu stellen. Die vergleichsweise hohe Zahl erfolgreicher Angriffe zeigt aber, dass solche punktuellen Maßnahmen für sich genommen nicht ausreichen. Nur, wenn die neuen Technologien in eine ganzheitliche, hybride Security-Strategie eingebunden werden, die für die dezentralen Netzwerke von heute ausgerichtet ist, können die Einrichtungen des Gesundheitswesens auch wirklich einen ganzheitlichen Schutz erreichen.

Ein zentraler Aspekt ist es dabei, das Thema Security als Teamaufgabe wahrzunehmen und alle Hierarchie-Ebenen einzubinden. Die Verantwortung über die Sicherheit der Daten darf also nicht allein auf den Schultern der IT-Teams liegen, sondern muss schon mit Blick auf den hohen Risikograd auch auf der C-Level-Ebene höchste Priorität erhalten. Aktuell zeichnet der Report für die Gesundheitsbranche noch ein ganz anderes Bild: Die befragten Einrichtungen sehen vorrangig die IT-Abteilungen beim Thema Daten- und Cloudsicherheit in der Verantwortung (47 Prozent). Und während branchenübergreifend mit 48 Prozent allen voran C-Level-Rollen wie der CTO in der Pflicht stehen, teilen nur 42 Prozent der befragten Gesundheitsorganisationen diese Meinung. Auch hier muss der Gesundheitssektor nachziehen und der Sicherheit der Cloud den notwendigen Stellenwert einräumen. Kurz: Cloud Security muss zur Chefsache werden.

Dies gilt umso mehr, als dass der über alle Branchen hinweg anhaltende Fachkräftemangel den zuverlässigen Datenschutz enorm erschwert. Gerade im Gesundheitswesen ist der Mangel an Cloud-Sicherheitsexperten besonders akut, was den Druck auf die bestehenden IT-Teams drastisch erhöht, weil diese die fehlenden personellen Ressourcen ausgleichen müssen. Eine mögliche Lösung dieser Herausforderung ist die Einbindung externer Spezialisten – etwa von System-Integratoren oder Herstellern – oder das vollständige oder teilweise Outsourcing des Security-Betriebs an dedizierte Managed Security Services Provider (MSSPs) und XDR-Dienstleister.

Die Verantwortlichkeit hört jedoch nicht beim C-Level und den IT-Teams auf. Jeder einzelne Nutzer, der Zugriff auf die sensiblen Daten hat, muss ein Bewusstsein für die Sicherheit der Daten entwickeln. Regelmäßige Schulungen und die Sensibilisierung der Mitarbeiter bilden dabei das Fundament einer starken Datensicherheit.

Fazit: Die Branche ist bei Cloud Security noch nicht am Ziel

Die hohe Investitionsbereitschaft bei der Einführung innovativer CASB- und DLP-Lösungen belegt, dass die Security-Verantwortlichen im Gesundheitssektor die Zeichen der Zeit verstanden haben. Sie wissen, dass sie die Potenziale der Cloud nur dann erschließen können, wenn sie lückenlose Transparenz über die Cloud behalten und in der Lage sind, kritische Daten dort zu schützen, wo sie sich befinden. Dafür muss sich die Branche aber zunächst erfolgreich von traditionellen Security-Konzepten lösen – und in ganzheitliche und hybride Security-Ansätze investieren.

Das technologische Fundament dieser Modelle sind ganzheitliche, Cloud-basierte Secure-Service-Edge-Plattformen, die nicht nur das Management der zunehmend komplexen Infrastrukturen erleichtern, sondern auch die lückenlose Visibilität und Resilienz bieten, die Einrichtungen des Gesundheitswesens heute benötigen, um im Web, in der Cloud und On-Premises zu schützen.

Der Autor:
Thomas Wethmar zeichnet als Regional Director DACH bei Skyhigh Security verantwortlich und verfügt über mehr als 20 Jahre Erfahrung in den IT-Infrastruktur- und Security-Märkten.

Lesen Sie auch: Cybersecurity: Krankenhäuser besser schützen


Teilen Sie die Meldung „Cloud Security: Der Healthcare-Sektor hat Nachholbedarf“ mit Ihren Kontakten:


Scroll to Top